Exemplo: Acessar o Armazenamento do Azure usando as bibliotecas do Azure para Python

Artigo
10/03/2024

Neste artigo, você aprenderá a usar as bibliotecas de cliente do Azure no código do aplicativo Python para carregar um arquivo em um contêiner de armazenamento de Blob do Azure. O artigo pressupõe que você criou os recursos mostrados em Exemplo: Criar Armazenamento do Azure.

Todos os comandos neste artigo funcionam da mesma forma em shells de comando Linux/macOS bash e Windows, a menos que indicado.

1. Configure o seu ambiente de desenvolvimento local

Se ainda não o fez, configure um ambiente onde possa executar este código. Seguem-se algumas opções:

Configure um ambiente virtual Python usando venv ou sua ferramenta de escolha. Você pode criar o ambiente virtual localmente ou no Azure Cloud Shell e executar o código lá. Certifique-se de ativar o ambiente virtual para começar a usá-lo.
Use um ambiente de conda.
Use um contêiner de desenvolvimento no Visual Studio Code ou GitHub Codespaces.

2. Instalar pacotes de biblioteca

No arquivo requirements.txt , adicione linhas para o pacote de biblioteca do cliente que você precisa e salve o arquivo.

azure-storage-blob
azure-identity

Em seguida, no terminal ou prompt de comando, instale os requisitos.

pip install -r requirements.txt

3. Crie um ficheiro para carregar

Crie um arquivo de origem chamado sample-source.txt. Esse nome de arquivo é o que o código espera.

Hello there, Azure Storage. I'm a friendly file ready to be stored in a blob.

4. Use o armazenamento de blob do código do aplicativo

Esta seção demonstra duas maneiras de acessar dados no contêiner de blob que você criou em Exemplo: Criar Armazenamento do Azure. Para acessar dados no contêiner de blob, seu aplicativo deve ser capaz de se autenticar com o Azure e estar autorizado a acessar dados no contêiner. Esta seção apresenta duas maneiras de fazer isso:

O método Passwordless (Recommended) autentica o aplicativo usando DefaultAzureCredentialo . DefaultAzureCredential é uma credencial encadeada que pode autenticar um aplicativo (ou um usuário) usando uma sequência de credenciais diferentes, incluindo credenciais da ferramenta de desenvolvedor, entidades de serviço de aplicativo e identidades gerenciadas.
O método Connection string usa uma cadeia de conexão para acessar a conta de armazenamento diretamente.

Pelos seguintes motivos e muito mais, recomendamos o uso do método sem senha sempre que possível:

Uma cadeia de conexão autentica o agente de conexão com a conta de armazenamento em vez de com recursos individuais dentro dessa conta. Como resultado, uma cadeia de conexão concede uma autorização mais ampla do que seria necessária. Com DefaultAzureCredential você pode conceder permissões mais granulares e menos privilegiadas sobre seus recursos de armazenamento para a identidade em que seu aplicativo é executado usando o Azure RBAC.
Uma cadeia de conexão contém informações de acesso em texto sem formatação e, portanto, apresenta vulnerabilidades potenciais se não for construída ou protegida corretamente. Se essa cadeia de conexão estiver exposta, ela poderá ser usada para acessar uma ampla gama de recursos dentro da conta de armazenamento.
Uma cadeia de conexão geralmente é armazenada em uma variável de ambiente, o que a torna vulnerável a comprometimento se um invasor obtiver acesso ao seu ambiente. Muitos dos tipos de credenciais suportados não DefaultAzureCredential exigem o armazenamento de segredos em seu ambiente.

Sem senha (recomendado)
Cadeia de Ligação

DefaultAzureCredential é uma cadeia de credenciais opinativa e pré-configurada. Ele foi projetado para suportar muitos ambientes, juntamente com os fluxos de autenticação mais comuns e ferramentas de desenvolvedor. Uma instância de determina para quais tipos de DefaultAzureCredential credenciais tentar obter um token com base em uma combinação de seu ambiente de tempo de execução, o valor de certas variáveis de ambiente conhecidas e, opcionalmente, parâmetros passados para seu construtor.

Nas etapas a seguir, você configura uma entidade de serviço de aplicativo como a identidade do aplicativo. As entidades de serviço de aplicativo são adequadas para uso durante o desenvolvimento local e para aplicativos hospedados localmente. Para configurar DefaultAzureCredential para usar a entidade de serviço do aplicativo, defina as seguintes variáveis de ambiente: AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_CLIENT_SECRET.

Observe que um segredo do cliente está configurado. Isso é necessário para uma entidade de serviço de aplicativo, mas, dependendo do cenário, você também pode configurar DefaultAzureCredential para usar credenciais que não exigem a definição de um segredo ou senha em uma variável de ambiente.

Por exemplo, no desenvolvimento local, se DefaultAzureCredential não for possível obter um token usando variáveis de ambiente configuradas, ele tentará obter um usando o usuário (já) conectado em ferramentas de desenvolvimento como a CLI do Azure; para um aplicativo hospedado no Azure, DefaultAzureCredential pode ser configurado para usar uma identidade gerenciada. Em todos os casos, o código em seu aplicativo permanece o mesmo, apenas a configuração e/ou o ambiente de tempo de execução são alterados.

Crie um arquivo chamado use_blob_auth.py com o código a seguir. Os comentários explicam os passos.

import os
import uuid

from azure.identity import DefaultAzureCredential

# Import the client object from the SDK library
from azure.storage.blob import BlobClient

credential = DefaultAzureCredential()

# Retrieve the storage blob service URL, which is of the form
# https://<your-storage-account-name>.blob.core.windows.net/
storage_url = os.environ["AZURE_STORAGE_BLOB_URL"]

# Create the client object using the storage URL and the credential
blob_client = BlobClient(
    storage_url,
    container_name="blob-container-01",
    blob_name=f"sample-blob-{str(uuid.uuid4())[0:5]}.txt",
    credential=credential,
)

# Open a local file and upload its contents to Blob Storage
with open("./sample-source.txt", "rb") as data:
    blob_client.upload_blob(data)
    print(f"Uploaded sample-source.txt to {blob_client.url}")

Ligações de referência:

Crie uma variável de ambiente chamada AZURE_STORAGE_BLOB_URL:
- CMD
- bash
```
set AZURE_STORAGE_BLOB_URL=https://pythonazurestorage12345.blob.core.windows.net
```
```
AZURE_STORAGE_BLOB_URL=https://pythonazurestorage12345.blob.core.windows.net
```
Substitua "pythonazurestorage12345" pelo nome da sua conta de armazenamento.

A AZURE_STORAGE_BLOB_URL variável de ambiente é usada apenas por este exemplo. Ele não é usado pelas bibliotecas do Azure.
Use o comando az ad sp create-for-rbac para criar uma nova entidade de serviço para o aplicativo. O comando cria o registro do aplicativo ao mesmo tempo. Dê à entidade de serviço um nome de sua escolha.
```
az ad sp create-for-rbac --name <service-principal-name>
```
A saída deste comando será semelhante à seguinte. Anote esses valores ou mantenha essa janela aberta, pois você precisará desses valores na próxima etapa e não poderá visualizar o valor da senha (segredo do cliente) novamente. No entanto, você pode adicionar uma nova senha mais tarde sem invalidar a entidade de serviço ou as senhas existentes, se necessário.
```
{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "<service-principal-name>",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}
```
Os comandos da CLI do Azure podem ser executados no Azure Cloud Shell ou em uma estação de trabalho com a CLI do Azure instalada.
Crie variáveis de ambiente para a entidade de serviço do aplicativo:

Crie as seguintes variáveis de ambiente com os valores da saída do comando anterior. Essas variáveis dizem DefaultAzureCredential para usar a entidade de serviço do aplicativo.
- AZURE_CLIENT_ID → O valor da ID do aplicativo.
- AZURE_TENANT_ID → O valor de ID do locatário.
- AZURE_CLIENT_SECRET → A senha/credencial gerada para o aplicativo.
- CMD
- bash
```
set AZURE_CLIENT_ID=00001111-aaaa-2222-bbbb-3333cccc4444
set AZURE_TENANT_ID=aaaabbbb-0000-cccc-1111-dddd2222eeee
set AZURE_CLIENT_SECRET=Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2
```
```
AZURE_CLIENT_ID=00001111-aaaa-2222-bbbb-3333cccc4444
AZURE_TENANT_ID=aaaabbbb-0000-cccc-1111-dddd2222eeee
AZURE_CLIENT_SECRET=Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2
```
Tente executar o código (que falha intencionalmente):
```
python use_blob_auth.py
```
Observe o erro "Esta solicitação não está autorizada a executar esta operação usando esta permissão." O erro é esperado porque a entidade de serviço local que você está usando ainda não tem permissão para acessar o contêiner de blob.
Conceda permissões de Colaborador de Dados de Blob de Armazenamento no contêiner de blob para a entidade de serviço usando o comando az role assignment create Azure CLI:
```
az role assignment create --assignee <AZURE_CLIENT_ID> \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/<AZURE_SUBSCRIPTION_ID>/resourceGroups/PythonAzureExample-Storage-rg/providers/Microsoft.Storage/storageAccounts/pythonazurestorage12345/blobServices/default/containers/blob-container-01"
```
O --assignee argumento identifica a entidade de serviço. Substitua <AZURE_CLIENT_ID> espaço reservado pelo ID do aplicativo da entidade de serviço.

O --scope argumento identifica onde essa atribuição de função se aplica. Neste exemplo, você concede a função "Storage Blob Data Contributor" à entidade de serviço do contêiner chamado "blob-container-01".
- Substitua PythonAzureExample-Storage-rg e pythonazurestorage12345 pelo grupo de recursos que contém sua conta de armazenamento e o nome exato de sua conta de armazenamento. Além disso, ajuste o nome do contêiner de blob, se necessário. Se você usar o nome errado, verá o erro "Não é possível executar a operação solicitada no recurso aninhado. Recurso pai 'pythonazurestorage12345' não encontrado."
- Substitua o espaço reservado <AZURE_SUBSCRIPTION_ID> por sua ID de assinatura do Azure. (Você pode executar o comando az account show e obter seu ID de assinatura da id propriedade na saída.)
Gorjeta

Se o comando role assignment retornar um erro "Nenhum adaptador de conexão foi encontrado" ao usar o shell bash, tente definir export MSYS_NO_PATHCONV=1 para evitar a conversão de caminho. Para obter mais informações, consulte este problema.
Aguarde um ou dois minutos para que as permissões se propaguem e, em seguida, execute o código novamente para verificar se ele agora funciona. Se você vir o erro de permissões novamente, aguarde um pouco mais e tente o código novamente.

Para obter mais informações sobre atribuições de função, consulte Como atribuir permissões de função usando a CLI do Azure.

Importante

Nas etapas anteriores, seu aplicativo foi executado sob uma entidade de serviço de aplicativo. Uma entidade de serviço de aplicativo requer um segredo do cliente em sua configuração. No entanto, você pode usar o mesmo código para executar o aplicativo em diferentes tipos de credenciais que não exigem que você configure explicitamente uma senha ou segredo no ambiente. Por exemplo, durante o desenvolvimento, pode usar credenciais de ferramenta de desenvolvedor, DefaultAzureCredential como as credenciais que você usa para entrar por meio da CLI do Azure, ou, para aplicativos hospedados no Azure, pode usar uma identidade gerenciada. Para saber mais, consulte Autenticar aplicativos Python nos serviços do Azure usando o SDK do Azure para Python.

Uma cadeia de conexão inclui a chave de acesso da conta de armazenamento e a usa para autorizar solicitações. Tenha sempre cuidado para nunca expor as chaves num local inseguro.

Crie um arquivo Python chamado use_blob_conn_string.py com o código a seguir. Os comentários explicam os passos.

import os
import uuid

# Import the client object from the SDK library
from azure.storage.blob import BlobClient

# Retrieve the connection string from an environment variable. Note that a
# connection string grants all permissions to the caller, making it less
# secure than obtaining a BlobClient object using credentials.
conn_string = os.environ["AZURE_STORAGE_CONNECTION_STRING"]

# Create the client object for the resource identified by the connection
# string, indicating also the blob container and the name of the specific
# blob we want.
blob_client = BlobClient.from_connection_string(
    conn_string,
    container_name="blob-container-01",
    blob_name=f"sample-blob-{str(uuid.uuid4())[0:5]}.txt",
)

# Open a local file and upload its contents to Blob Storage
with open("./sample-source.txt", "rb") as data:
    blob_client.upload_blob(data)
    print(f"Uploaded sample-source.txt to {blob_client.url}")

Crie uma variável de ambiente chamada AZURE_STORAGE_CONNECTION_STRING, cujo valor é a cadeia de conexão completa para a conta de armazenamento. (Essa variável de ambiente também é usada por vários comentários da CLI do Azure.) Você pode obter a cadeia de conexão para sua conta de armazenamento executando o comando az storage account show-connection-string .
```
az storage account show-connection-string --resource-group PythonAzureExample-Storage-rg --name pythonazurestorage12345
```
Substitua PythonAzureExample-Storage-rg e pythonazurestorage12345 pelo grupo de recursos que contém sua conta de armazenamento e o nome exato de sua conta de armazenamento.

Ao definir a variável de ambiente, use todo o connectionString valor da propriedade na saída, incluindo as aspas.
Execute o código:
```
python use_blob_conn_string.py
```

Novamente, embora esse método seja simples, uma cadeia de conexão autoriza todas as operações em uma conta de armazenamento. Com o código de produção, é melhor usar permissões específicas, conforme descrito na seção anterior.

Importante

A chave de acesso à conta deve ser usada com cuidado. Se a chave de acesso da sua conta for perdida ou acidentalmente colocada num local inseguro, o seu serviço poderá ficar vulnerável. Qualquer pessoa que tenha a chave de acesso é capaz de autorizar solicitações contra a conta de armazenamento e efetivamente tem acesso a todos os dados. DefaultAzureCredential fornece recursos e benefícios de segurança aprimorados e é a abordagem recomendada para gerenciar a autorização para serviços do Azure.

5. Verificar a criação de blob

Depois de executar o código de qualquer um dos métodos, vá para o portal do Azure, navegue até o contêiner de blob para verificar se existe um novo blob chamado sample-blob-{random}.txt com o mesmo conteúdo do arquivo sample-source.txt:

Página do portal do Azure para o contêiner de blob, mostrando o arquivo carregado

Se você criou uma variável de ambiente chamada AZURE_STORAGE_CONNECTION_STRING, também pode usar a CLI do Azure para verificar se o blob existe usando o comando az storage blob list :

az storage blob list --container-name blob-container-01

Se você seguiu as instruções para usar a autenticação sem senha, poderá adicionar o --connection-string parâmetro ao comando anterior com a cadeia de conexão para sua conta de armazenamento. Para obter a cadeia de conexão, use o comando az storage account show-connection-string .

az storage account show-connection-string --resource-group PythonAzureExample-Storage-rg --name pythonazurestorage12345 --output tsv

Use a cadeia de conexão inteira como o valor para o --connection-string parâmetro.

Nota

Se sua conta de usuário do Azure tiver a função "Colaborador de Dados de Blob de Armazenamento" no contêiner, você poderá usar o seguinte comando para listar os blobs no contêiner:

az storage blob list --container-name blob-container-01 --account-name pythonazurestorage12345 --auth-mode login

6. Limpar os recursos

Execute o comando az group delete se não precisar manter o grupo de recursos e os recursos de armazenamento usados neste exemplo. Os grupos de recursos não incorrem em encargos contínuos na sua subscrição, mas os recursos, como contas de armazenamento, no grupo de recursos podem continuar a incorrer em encargos. É uma boa prática limpar qualquer grupo que você não esteja usando ativamente. O --no-wait argumento permite que o comando retorne imediatamente em vez de esperar que a operação seja concluída.

az group delete -n PythonAzureExample-Storage-rg  --no-wait

Você também pode usar o ResourceManagementClient.resource_groups.begin_delete método para excluir um grupo de recursos do código. O código em Exemplo: Criar um grupo de recursos demonstra o uso.

Se você seguiu as instruções para usar a autenticação sem senha, é uma boa ideia excluir a entidade de serviço de aplicativo que você criou. Você pode usar o comando az ad app delete . Substitua o espaço reservado <AZURE_CLIENT_ID> pelo ID do aplicativo da entidade de serviço.

az ad app delete --id <AZURE_CLIENT_ID>

Partilhar via